मैं किसी सर्वर पर कई डोमेन के लिए SPF को कैसे कॉन्फ़िगर करूं? (प्रेषक के रूप में जीमेल की अनुमति भी)

9

SPF (सेंडर पॉलिसी फ्रेमवर्क) स्पैमर / स्पूफिंग का मुकाबला करने के लिए एक अच्छा तरीका है।

हालाँकि, कई बार स्पष्टीकरणों को पढ़ने के बावजूद, मैं यह नहीं समझ पा रहा हूँ कि इसे सही तरीके से कैसे कॉन्फ़िगर किया जाए।

चलो कहते हैं कि मैं पर मेरे सर्वर है a.x.comजो मेजबान www.x.comऔर b.x.comऔर c.x.comऔर इतने पर।

मेरे पास a.co.uk b.net c.infoऔर इतने पर, इनमें से प्रत्येक उप-डोमेन के वर्गीकरण के साथ, सभी होस्ट किए गए हैंx.com

इन सभी डोमेन और उप-डोमेन के लिए, मैं मेल को भेजने की अनुमति देना चाहता हूं a.x.com

मैं उन सभी को भी इन सभी डोमेन के लिए जीमेल से भेजे गए मेल की अनुमति देना चाहूंगा।

मैं इसे एसपीएफ़ के साथ कैसे सेट करूँ?

क्या मैं x.com(या a.x.com) के लिए एक एसपीएफ़ रिकॉर्ड सेट कर सकता हूं और फिर बाकी सभी चीज़ों के लिए बस एक सरल शामिल / पॉइंटर को x.comरिकॉर्ड करना होगा, या इसे अलग तरीके से करने की आवश्यकता होगी?

क्या कोई उपरोक्त उदाहरण के लिए कुछ एसपीएफ़ रिकॉर्ड प्रदान कर सकता है?

नोट: मेरे प्रश्न के दूसरे भाग का उत्तर दिया गया है (" v=spf1 include:x.com -all" का उपयोग / x.comरिकॉर्ड में शामिल करने के लिए), लेकिन जो सेट करना है उसका मुख्य भाग x.comअनुत्तरित है ...

— पीटर बॉटन
स्रोत

वास्तव में यह स्पैम को कम करने का एक निष्प्रभावी तरीका साबित हुआ है। वास्तव में, यकीनन, यह वास्तव में वैसे भी प्रेषक पते को संबोधित करने के लिए है।

— क्रिस्टोफर एडवर्ड्स

2

"यह वास्तव में केवल प्रेषक पते को स्पूफिंग को संबोधित करने के लिए है" - बिल्कुल, स्पैमर्स को दूसरों के डोमेन से आने वाले मेल भेजने से रोकने के लिए।

— पीटर बॉटन

7

आप x.com के अलावा अन्य डोमेन के लिए ज़ोन फ़ाइलों को परिवर्तित करने से बच नहीं सकते हैं, लेकिन आप एक डोमेन पर होस्ट की गई सामान्य नीतियों को परिभाषित करके और redirectअन्य डोमेन पर SPF कीवर्ड का उपयोग करके अपने आप को बहुत परेशानी से बचा सकते हैं। उदाहरण:

x.comडोमेन के लिए ज़ोनफ़ाइल में :

TXT में _policy1 "v = spf1 a: axcom -all"
TXT में _policy2 "v = spf1 शामिल हैं: _spf.google.com a: axcom -all"

_spf.google.comजीमेल एसपीएफ रिकॉर्ड रखने वाला रिकॉर्ड है। यकीन नहीं होता कि क्या यह प्रलेखित है। सैद्धांतिक रूप से आपको चाहिए, include:gmail.comलेकिन यह एक पुनर्निर्देशन है _spf.google.comऔर कम से कम एक व्यापक रूप से इस्तेमाल किया गया SPF पैच qmail के लिए है जो इसे ठीक से पालन नहीं करता है (अगस्त 2008 में तय किया गया था, लेकिन अभी भी तैनात किया जा सकता है।) दो नीतियां उदाहरण हैं, निश्चित रूप से - विभिन्न स्तरों की सख्ती के साथ एक से अधिक होने पर डिबगिंग तब बहुत उपयोगी होती है, जब आपको केवल त्रुटि-प्रवण कोपिंग के बजाय लक्ष्य डोमेन में एक छोटा नाम बदलना पड़ता है।

अन्य डोमेन के लिए ज़ोनफ़ाइल्स में:

@ TXT में "v = spf1 पुनर्निर्देशित = _policy1.x.com"

या

@ TXT में "v = spf1 पुनर्निर्देशित = _policy2.x.com"

आदि, मैं एसपीएफ जांच को पूरी तरह से वर्तमान में बदल दिए जाने वाले रिकॉर्ड को बदलने के लिए उपयोग कर रहा हूं redirect, न कि include, जिसका मैं उपयोग कर रहा हूं। includeऐसा नहीं करता है - उदाहरण के लिए, एक -allके अंत में includeमूल्यांकन का कारण नहीं होता है ( includeएक बड़ा misnomer है।) includeजब आप किसी अन्य डोमेन से SPF रिकॉर्ड "उर्फ" चाहते हैं तो आपको इसका उपयोग करने से बचना चाहिए , क्योंकि यह काफी भंगुर है - यदि आप गलती से ट्रेलिंग-को भूल जाते हैं, तो आप उस डोमेन पर अपने पूरे एसपीएफ़ को अप्रभावी कर सकते हैं।

संपादित करें: कृपया ध्यान दें, यदि आप Gmail के सर्वर को प्रेषक के रूप में अनुमति देना चाहते हैं, तो आपको सुरक्षा की आवश्यकता होगी। जीमेल चैप्टा को क्रैक कर दिया गया है, जिसका अर्थ है कि खाता साइनअप को स्वचालित करना संभव है, जिसका अर्थ है कि जीमेल (अप्रत्यक्ष रूप से) एक खुले रिले के रूप में इस्तेमाल किया जा सकता है (मुझे मेरी कंपनी चर्चा मंच के लिए प्रति सप्ताह दसियों से अधिक स्पैमबॉट अनुरोध मिल रहे हैं, सभी का उपयोग करके gmail.com ईमेल पते - और वे पते लाइव हैं, मैंने कुछ को चेक करने के उद्देश्यों से गुजरने की अनुमति दी है।) इसके अलावा, Gmail खाते वाले कोई भी व्यक्ति अपने डोमेन पर ईमेल पते के uwsername भागों से परिचित होने पर SPF जाँच को बायपास कर सकता है। ।

— मिहाई लिंबासन
स्रोत

धन्यवाद, यह एक उपयोगी उत्तर है। पिछली बार जब मैंने चेक किया था, तो जीमेल को ईमेल एड्रेस की आवश्यकता होती है, इससे पहले कि आप अन्य पते से ईमेल भेज सकें - इसलिए उस पते के लिए इनबॉक्स सुरक्षित होने के बाद, चीजें ठीक हैं? कितना महत्वपूर्ण है / bortzmeyer के उत्तर में 'www' लाइनें भी नहीं हैं?

— पीटर बॉटन

1

यह सच है, लेकिन एक बार जब एक दरार दिखाई देती है, तो मुझे यकीन है कि कोई व्यक्ति आधी नदी को निचोड़ने का एक रास्ता खोज लेगा :) आप यह नहीं कहेंगे, मैं सिर्फ आपके पैर की उंगलियों पर होने की सिफारिश कर रहा हूं और समय-समय पर जांच करता हूं कि क्या जीमेल है शोषण किया जा रहा है, यानी कृपया अनिश्चितकाल के लिए जीमेल पर अधिकार न छोड़ें। मैं उन पर अधिक भरोसा करता हूं, जिन पर मैं अधिक ऑनलाइन संस्थाओं पर भरोसा करता हूं, लेकिन यह सिर्फ थोड़ा भरोसा बनाम कोई भरोसा नहीं है।

— मिहाई लिम्बायसन

मुझे पता नहीं क्यों bortzmeyer में www प्रविष्टियाँ शामिल थीं। वे पूरी तरह से बेकार हैं जब तक कि आप वास्तव में @ www.x.com से मेल नहीं भेजते हैं, जो (इसके अलावा ज्यादा इस्तेमाल नहीं किया जा रहा है) सादा अजीब दिखता है और तकनीकी रूप से समझदार लोगों की तुलना में भ्रम को कम करता है।

— मिहाई लिम्बायसन

2

इसके अतिरिक्त, मैं SPF रिकॉर्ड प्रकारों का उपयोग नहीं करूंगा। मेरा सुझाव है कि आप TXT के साथ रहें। SPF रिकॉर्ड प्रकार केवल BIND 9.4 और उच्चतर के द्वारा समर्थित है, आरएफसी प्रति आप चाहिए भी TXT रिकॉर्ड की प्रतिकृतियां बनाए रखने यानी आप सामान (बुरा) copypaste चाहिए और आप सिंक (हार्ड) में उन्हें बनाए रखना होगा। TXT प्राथमिक रूप से भविष्य के लिए प्राथमिक SPF वितरण तंत्र होगा, क्योंकि लाभ कोई भी नहीं है।

— मिहाई लिम्बायसन

1

@ मिहाई लिंबासन: उत्कृष्ट उत्तर, साझा करने के लिए धन्यवाद। यदि आपको लगता है कि आपके उत्तर को अपडेट करना आवश्यक है, तो Google इसके v=spf1 include:_spf.google.com ~allस्थान पर पसंद करने लगता है -all, मुझे लगता है कि मैं ठीक से समझ रहा हूं, रेफ। google.com/support/a/bin/answer.py?answer=178723

— Marco Demaio

4

हां, आप अन्य सभी डोमेन के लिए SPF रिकॉर्ड में अपने किसी एक डोमेन से कॉन्फिगर को शामिल कर सकते हैं। निम्नलिखित करने के लिए अन्य डोमेन 'एसपीएफ़ रिकॉर्ड सेट करना चाहिए:

v=spf1 include:x.com -all

— वमन
स्रोत

क्या यह "बस काम करेगा", या क्या इसे _spf उप-डोमेन, या इसी तरह की आवश्यकता है?

— पीटर बॉटन

मुझे पूरा यकीन है कि यदि आपने शुरू में सीधे एसपीएफ रिकॉर्ड्स को एक्स डॉट कॉम पर परिभाषित किया है, तो अन्य डोमेन के लिए शामिल किए गए सीधे एक्स डॉट कॉम पर सीधे इंगित कर सकते हैं। यदि आप अपने SPF रिकॉर्ड को _spf.x.com रूट में परिभाषित करते हैं, तो हाँ, आपको उस FQDN को इंगित करने के लिए थोड़ा सा शामिल करने की आवश्यकता होगी।

— Womble

2

क्या आपने http://www.openspf.org/ पर वेब टूल का उपयोग करने की कोशिश की है ? इससे निपटना आपके लिए थोड़ा आसान हो सकता है ...

बस ऊपर-दाएं बॉक्स में अपना डोमेन दर्ज करें और गो बटन पर क्लिक करें। वहां से, आपको जल्दी में चीजों को स्थापित करने में सक्षम होना चाहिए।

— एवरी पायने
स्रोत

1

मैंने उस टूल के साथ कई बार कोशिश की है, लेकिन स्पष्टीकरण पर्याप्त रूप से स्पष्ट नहीं हैं।

— पीटर बॉटन

2

मानक, RFC 4408 , कुछ उदाहरण प्रदान करता है जो आप चाहते हैं से बहुत करीब हैं। यहाँ एक्स.कॉम ज़ोनफाइल का एक अर्क है:

@ TXT में "v = spf1 a: axcom -all"
      SPF में "v = spf1 a: axcom -all"

TXT में www "v = spf1 a: axcom -all"
      SPF में "v = spf1 a: axcom -all"

टिप्पणियाँ:

मैंने Gmail ईमेल सर्वर नहीं जोड़े क्योंकि मैं उन्हें नहीं जानता, Gmail लोगों से पूछूंगा
'एक' 'पता' के लिए है (यह है नहीं एक DNS एक रिकॉर्ड, यह IPv6 भी शामिल है)
मैंने RFC के अनुसार SPF रिकॉर्ड जोड़े, हालाँकि लगभग सभी कार्यान्वयन केवल TXT रिकॉर्ड का उपयोग करते हैं

— bortzmeyer
स्रोत

1

हां, आपको व्यक्तिगत रूप से प्रत्येक डोमेन में विशिष्ट एसपीएफ रिकॉर्ड जोड़ने की आवश्यकता है।

इसका कारण यह है कि DNS में केवल (उपयोगी) उपनाम प्रकार रिकॉर्ड है CNAME। हालांकि CNAMEरिकार्ड के लिए होने की aliasing का कारण बनता है सभी एक RRset में RRtypes की - वहाँ कहने के लिए कोई रास्ता नहीं है " CNAMESPF रिकॉर्ड नहीं बल्कि MXरिकॉर्ड "

— एल्निटैक
स्रोत

मैं समझता हूं कि मुझे प्रत्येक डोमेन के लिए एक एसपीएफ़ रिकॉर्ड जोड़ना होगा , लेकिन मैं बस एक साधारण पॉइंटर को मुख्य डोमेन में संग्रहीत करने की उम्मीद कर रहा था , जहां सभी अधिक जटिल कमांड्स तब रह सकते हैं। वोमबल सुझाव देता है कि मैं इसके लिए शामिल कर सकता हूं: {domain} इसके लिए, लेकिन मैं अभी भी स्पष्ट नहीं हूं कि क्या इसमें अन्य डोमेन के लिए SPF रिकॉर्ड में बस / अंक शामिल हैं, या अगर मुझे _spf.x.com उपडोमेन होस्ट करने की आवश्यकता है?

— पीटर बॉटन

हां, वोमबले का जवाब देखें

— अलनीतक